Сообщения

Сообщения за сентябрь, 2015

СОИБ. Выбор мер защиты. Application Security в регионах

Изображение
Не так давно компания Positive Technologies совместно с дистрибьютором АКСОФТ активно взялись за развитие направления Application Security в регионах – в том числе встречались со специалистами компании РосИнтеграция . Основная идея – продукты данного направления уже достаточно хорошо отработаны на ключевых заказчиках, вместе с тем в регионах есть потребность в защите приложений, которая ранее не могла быть удовлетворена в виду ограничений или высокой стоимости зарубежных решений (таких как Imperva ). Одно из технических решений направления – межсетевой экран уровня приложений PT Application Firewall . Про решения данного типа у меня есть несколько полезных статей в блоге . Отдельно хотелось обсудить преимущества перед конкурентами, которые выделяет вендор : ·          российский производитель, что соответствует теме импортозамещения и дает уверенность в том, что поставка не попадет под санкции и оборудование прийдет без закладок АНБ ...

Общее. Знатоки блогеров, экспертов и BISA

В предыдущей статье я публиковал приглашение ответить на вопросы по экспертам BISA и персонам BIS Summit – как правило известных блогеров.  Давайте кратко рассмотрим ответы и подведем итоги. 1. Укажите фамилию спикера BIS Summit 2015, который в свое время сделал форк известного опенсорсного сканнера безопасности, зарегистрировал патент на него и публично распространял этот сканнер. По моей информации, это был Алексей Волков и сканнер ruNmap . Это очень круто иметь такой опыт - помню ещё лет 12 назад заходил на этот сайт и тестировал ruNmap , когда других сканеров кроме nmap толком не было. Другие ответы: Кришна Раджагопал, Медведовский, Браун. О патентах первого мне ничего не известно. А второй и третий отсутствуют в списке спикеров BISA (к сожалению) 2. Укажите фамилию эксперта и модератора BIS Summit 2015, который в 2008 году писал статьи на тему безопасности биллинговых систем – не совсем на ту тему, на которую мы сейчас привыкли видеть его публикации. ...

Общее. Розыгрыш билетов на BIS Summit 2015

18 сентября 2015 года будет проходить конференция BIS Summit 2015 , интересная участием в ней большого количество иностранных спикеров, местных экспертов, и наличием онлайн-трансляции, что большая редкость для российских мероприятий. В предыдущие годы я как раз смотрел онлайн-трансляцию с мероприятия, так как не удавалось выбраться из Краснодара. В этот раз буду на конференции очно, посмотрю на высокий уровень проведения мероприятия, о котором отзываются многие коллеги. Организаторы BIS Summit 2015 попросили разыграть несколько билетов на просмотр онлайн трансляции для читателей моего блога. В связи с чем я подготовил несколько простых и интересных, на мой взгляд, вопросов по экспертам BISA и персонам BIS Summit . Приглашаю всех ответить на вопросы по ссылке , получить удовольствие и принять участие в BIS Summit 2015. Условия конкурса : ·          Всего разыгрывается 3 промо кода – билета на онлайн трансляцию ·  ...

СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц. Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут убраны на полку. Если кратко то, ответственному за защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор обращается к интегратору за помощью): ·          знание области действия и основные положения нормативных правовых актов, регламентирующих вопросы обработки и обеспечения безопасности персональных данных (как прави...

СОИБ. Анализ. Учить или не учить?

Изображение
Посмотрим на недавние (недавно обновленные) нормативные документы РФ в области ИБ, такие как 152-ФЗ, 149-ФЗ, Постановление правительства №1119, Приказ ФСТЭК №21 о мерах защиты ПДн, Методические рекомендации ФСТЭК по защите ГИС, Приказ ФСБ №378 о мерах защиты ПДн  - там фактически ничего нет про квалификацию (знания и умения) лиц, ответственных за организацию обработки информации ограниченного доступа (ПДн) или за защиту информации, про проверку и повышение квалификации этих лиц, про необходимость повышения осведомленности и обучения в области информационной безопасности. Если в приведенных НМД что-то требуется в этой части – это поставить роспись об ознакомлении с комплектом документов. Так можно дворника назначить ответственным за организацию обработки ПДн, вахтера на входе ответственным за защиту информации, вручить им ОРД и не выпускать, пока не поставят 20 подписей. Разве этого достаточно? Регуляторы считают, что достаточно! При проверках – смотрят только приказ...